Spring Security單專案許可權設計過程解析
為什麼選擇SpringSecurity?
現如今,在JavaWeb的世界裡Spring可以說是一統江湖,隨著微服務的到來,SpringCloud可以說是Java程式設計師必須熟悉的框架,就連阿里都為SpringCloud寫開源呢。(比如大名鼎鼎的Nacos)作為Spring的親兒子,SpringSecurity很好的適應了了微服務的生態。你可以非常簡便的結合Oauth做認證中心服務。本文先從最簡單的單體專案開始,逐步掌握Security。更多可達官方文件
準備
我準備了一個簡單的demo,具體程式碼會放到文末。提前宣告,本demo沒有用JWT,因為我想把token的維護放到服務端,更好的維護過期時間。(當然,如果將來微服務認證中心的形式,JWT也可以做到方便的維護過期時間,不做過多討論)如果想了解Security+JWT簡易入門,請戳
本專案結構如下
另外,本demo使用了MybatisPlus、lombok。
核心程式碼
首先需要實現兩個類,一個是UserDetails的實現類SecurityUser,一個是UserDetailsService的實現類SecurityUserService。
**
* Security 要求需要實現的User類
* */
@Data
public class SecurityUser implements UserDetails {
@Autowired
private SysRoleService sysRoleService;
//使用者登入名(注意此處的username和SysUser的loginName是一個值)
private String username;
//登入密碼
private String password;
//使用者id
private SysUser sysUser;
//該使用者的所有許可權
private List<SysMenu> sysMenuList;
/**建構函式*/
public SecurityUser(SysUser sysUser){
this.username = sysUser.getLoginName();
this.password = sysUser.getPassword();
this.sysUser = sysUser;
}
public SecurityUser(SysUser sysUser,List<SysMenu> sysMenuList){
this.username = sysUser.getLoginName();
this.password = sysUser.getPassword();
this.sysMenuList = sysMenuList;
this.sysUser = sysUser;
}
/**需要實現的方法*/
@Override
public Collection<? extends GrantedAuthority> getAuthorities() {
List<GrantedAuthority> authorities = new ArrayList<>();
for(SysMenu menu : sysMenuList) {
authorities.add(new SimpleGrantedAuthority(menu.getPerms()));
}
return authorities;
}
@Override
public String getPassword() {
return this.password;
}
@Override
public String getUsername() {
return this.username;
}
//預設賬戶未過期
@Override
public boolean isAccountNonExpired() {
return true;
}
//預設賬戶沒有帶鎖
@Override
public boolean isAccountNonLocked() {
return true;
}
//預設憑證沒有過期
@Override
public boolean isCredentialsNonExpired() {
return true;
}
//預設賬戶可用
@Override
public boolean isEnabled() {
return true;
}
}這個類包含著某個請求者的資訊,在Security中叫做主體。其中這個方法是必須實現的,可以獲取使用者的具體許可權。我們這邊許可權的顆粒度達到了選單級別,而不是很多開源專案中角色那級別,我覺得顆粒度越細越方便(個人覺得...)
/**
* Security 要求需要實現的UserService類
* */
@Service
public class SecurityUserService implements UserDetailsService{
@Autowired
private SysUserService sysUserService;
@Autowired
private SysMenuService sysMenuService;
@Autowired
private HttpServletRequest httpServletRequest;
@Override
public SecurityUser loadUserByUsername(String loginName) throws UsernameNotFoundException {
LambdaQueryWrapper<SysUser> condition = Wrappers.<SysUser>lambdaQuery().eq(SysUser::getLoginName,loginName);
SysUser sysUser = sysUserService.getOne(condition);
if (Objects.isNull(sysUser)){
throw new UsernameNotFoundException("未找到該使用者!");
}
Long projectId = null;
try{
projectId = Long.parseLong(httpServletRequest.getHeader("projectId"));
}catch (Exception e){
}
SysMenuModel sysMenuModel;
if (sysUser.getUserType()){
sysMenuModel = new SysMenuModel();
}else {
sysMenuModel = new SysMenuModel().setUserId(sysUser.getId());
}
sysMenuModel.setProjectId(projectId);
List<SysMenu> menuList = sysMenuService.getList(sysMenuModel);
return new SecurityUser(sysUser,menuList);
}
}顯而易見,這個類實現了唯一的方法loadUserByUsername,從而可以拿到某使用者的所有許可權,並生成主體,在後面的filter中就可以見到他的作用了。
在看配置和filter之前,還有一個類需要說明一下,此類提供方法,可以讓使用者未登入、或者token失效的情況下進行統一返回。
@Component
public class SecurityAuthenticationEntryPoint implements AuthenticationEntryPoint,Serializable {
private static final long serialVersionUID = 1L;
@Override
public void commence(HttpServletRequest request,HttpServletResponse response,AuthenticationException authException) throws IOException,ServletException {
response.sendError(HttpServletResponse.SC_UNAUTHORIZED,"token失效,請登陸後重試");
}
}
ok,接下來看配置,實現了WebSecurityConfigurerAdapter的SecurityConfig類,特別說明,本demo算是前後端分離的前提下寫的,所以實現過多的方法,其實這個類可以實現三個方法。
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter{
@Autowired
SecurityAuthenticationEntryPoint securityAuthenticationEntryPoint;
@Autowired
SecurityFilter securityFilter;
@Override
protected void configure(HttpSecurity http) throws Exception {
http
//禁止csrf
.csrf().disable()
//異常處理
.exceptionHandling().authenticationEntryPoint(securityAuthenticationEntryPoint).and()
//Session管理方式
.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).and()
//開啟認證
.authorizeRequests()
.antMatchers("/login/login").permitAll()
.antMatchers("/login/register").permitAll()
.antMatchers("/login/logout").permitAll()
.anyRequest().authenticated();
http
.addFilterBefore(securityFilter,UsernamePasswordAuthenticationFilter.class);
}
}
異常處理就是上面那個類,Session那幾種管理方式我在那篇Security+JWT的文章中也有所講解,比較簡單,然後是幾個不用驗證的登入路徑,剩下的都需要經過我們下面這個filter。
@Slf4j
@Component
public class SecurityFilter extends OncePerRequestFilter {
@Autowired
SecurityUserService securityUserService;
@Autowired
SysUserService sysUserService;
@Autowired
SysUserTokenService sysUserTokenService;
/**
* 認證授權
* */
@Override
protected void doFilterInternal(HttpServletRequest httpServletRequest,HttpServletResponse httpServletResponse,FilterChain filterChain) throws ServletException,IOException {
log.info("訪問的連結是:{}",httpServletRequest.getRequestURL());
try {
final String token = httpServletRequest.getHeader("token");
LambdaQueryWrapper<SysUserToken> condition = Wrappers.<SysUserToken>lambdaQuery().eq(SysUserToken::getToken,token);
SysUserToken sysUserToken = sysUserTokenService.getOne(condition);
if (Objects.nonNull(sysUserToken)){
SysUser sysUser = sysUserService.getById(sysUserToken.getUserId());
if (Objects.nonNull(sysUser)){
SecurityUser securityUser = securityUserService.loadUserByUsername(sysUser.getLoginName());
//將主體放入記憶體
UsernamePasswordAuthenticationToken authentication =
new UsernamePasswordAuthenticationToken(securityUser,null,securityUser.getAuthorities());
authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(httpServletRequest));
//放入記憶體中去
SecurityContextHolder.getContext().setAuthentication(authentication);
}
}
}catch (Exception e){
log.error("認證授權時出錯:{}",Arrays.toString(e.getStackTrace()));
}
filterChain.doFilter(httpServletRequest,httpServletResponse);
}
}
判斷使用者是否登入,就是從資料庫中檢視是否有未過期的token,如果存在,就把主體資訊放進到專案的記憶體中去,特別說明的是,每個請求鏈結束,SecurityContextHolder.getContext()的資料都會被clear的,所以,每次請求的時候都需要set。
以上就完成了Security核心的建立,為了業務程式碼方便獲取記憶體中的主體資訊,我特意加了一個獲取使用者資訊的方法
/**
* 獲取Security主體工具類
* @author pjjlt
* */
public class SecurityUserUtil {
public static SysUser getCurrentUser(){
SecurityUser securityUser = (SecurityUser) SecurityContextHolder.getContext().getAuthentication().getPrincipal();
if (Objects.nonNull(securityUser) && Objects.nonNull(securityUser.getSysUser())){
return securityUser.getSysUser();
}
return null;
}
}
業務程式碼
以上是Security核心程式碼,下面簡單加兩個業務程式碼,比如登入和某個介面的許可權訪問測試。
萬物之源登入登出
首先,不被filter攔截的那三個方法註冊、登入、登出,我都寫在了moudle.controller.LoginController這個路徑下,註冊就不用說了,就是一個insertUser的方法,做好判斷就好,密碼通過AES加個密。
下面看下登入程式碼,controller層就不說了,反正就是個驗參。
/**
* 登入,返回登入資訊,前端需要快取
* */
@Override
@Transactional(rollbackFor = Exception.class)
public JSONObject login(SysUserModel sysUserModel) throws Exception{
JSONObject result = new JSONObject();
//1. 驗證賬號是否存在、密碼是否正確、賬號是否停用
Wrapper<SysUser> sysUserWrapper = Wrappers.<SysUser>lambdaQuery()
.eq(SysUser::getLoginName,sysUserModel.getLoginName()).or()
.eq(SysUser::getEmail,sysUserModel.getEmail());
SysUser sysUser = baseMapper.selectOne(sysUserWrapper);
if (Objects.isNull(sysUser)){
throw new Exception("使用者不存在!");
}
String password = CipherUtil.encryptByAES(sysUserModel.getPassword());
if (!password.equals(sysUser.getPassword())){
throw new Exception("密碼不正確!");
}
if (sysUser.getStatus()){
throw new Exception("賬號已刪除或已停用!");
}
// 2.更新最後登入時間
sysUser.setLoginIp(ServletUtil.getClientIP(request));
sysUser.setLoginDate(LocalDateTime.now());
baseMapper.updateById(sysUser);
// 3.封裝token,返回資訊
String token = UUID.fastUUID().toString().replace("-","");
LocalDateTime expireTime = LocalDateTime.now().plusSeconds(expireTimeSeconds);
SysUserToken sysUserToken = new SysUserToken()
.setToken(token).setUserId(sysUser.getId()).setExpireTime(expireTime);
sysUserTokenService.save(sysUserToken);
result.putOpt("token",token);
result.putOpt("expireTime",expireTime);
return result;
}
首先驗證下使用者是否存在,登入密碼是否正確,然後封裝token,值得一提的是,我並沒有從資料庫(sysUserToken)中獲取使用者已經登入的token,然後更新過期時間的形式做登入,而是每次登入都獲取新token,這樣就可以做到多端登入了,後期還可以做賬號登入數量的控制。
然後就是登出,刪除庫中存在的token
/**
* 登出,刪除token
* */
@Override
public void logout() throws Exception{
String token = httpServletRequest.getHeader("token");
if (Objects.isNull(token)){
throw new LoginException("token不存在",ResultEnum.LOGOUT_ERROR);
}
LambdaQueryWrapper<SysUserToken> sysUserWrapper = Wrappers.<SysUserToken>lambdaQuery()
.eq(SysUserToken::getToken,token);
baseMapper.delete(sysUserWrapper);
}
許可權驗證
這邊我維護了兩個賬號,一個是超級管理員majian,擁有所有許可權。一個是普通人員_pjjlt,只有一些許可權,我們看一下訪問介面的效果。
我們訪問的介面是moudle.controller.LoginController路徑下的
@PreAuthorize("hasAnyAuthority('test')")
@GetMapping("test")
public String test(){
return "test";
}
其中hasAnyAuthority('test')就是許可權碼
我們模擬用不同賬號訪問,就是改變請求header中的token值,就是登入階段返回給前端的token。
首先是超級管理員驗證
然後是普通管理員訪問
接著沒有登入(token不存在或者已過期)訪問
demo地址
https://github.com/majian1994/easy-file-back
結束語
本文簡單講解了,主要是將Security相關的東西,具體實現角色的三要素,使用者、角色、許可權(選單)可以看我的程式碼,都寫完測完了,本來想寫個文件管理系統,幫助我司更好的管理介面文件,but有位小夥伴找了一個不錯的開源的了,所以這程式碼就成了我的一個小demo。
以上就是本文的全部內容,希望對大家的學習有所幫助,也希望大家多多支援我們。